Đảm bảo an toàn hệ thống thông tin ngành ngân hàng

Theo Ngân hàng Nhà nước, việc sửa đổi Thông tư thay thế Thông tư 18/2018/TT-NHNN ngày 21/08/2018 nhằm cập nhật đầy đủ các quy định của Luật An toàn thông tin mạng và các văn bản hướng dẫn đồng thời phù hợp với thực tế tình hình an toàn thông tin mạng trong ngành Ngân hàng.

Ngân hàng Nhà nước cho biết, trong năm 2019 và nửa đầu năm 2020, theo thông tin từ Bộ Công an, Bộ Thông tin và Truyền thông và qua công tác giám sát về an ninh mạng của ngành ngân hàng, các cuộc tấn công mạng nhằm vào hệ thống ngân hàng gia tăng cả về quy mô và mức độ dai dẳng lẫn thủ đoạn tinh vi. 

Cuối 2019, ngành Ngân hàng Việt Nam đã xảy ra vụ việc liên quan đến công tác đảm bảo an toàn thông tin như lộ lọt thông tin khách hàng, phát hiện mã độc tấn công xâm nhập vào hệ thống thông tin.

Qua công tác kiểm tra và khảo sát, Cục Công nghệ thông tin (Ngân hàng Nhà nước) đã ghi nhận được các khó khăn, vướng mắc và các đề xuất trong quá trình triển khai thực hiện Thông tư 18/2018/TT-NHNN của các tổ chức tín dụng, tổ chức cung ứng dịch vụ trung gian thanh toán.

Do đó, dự thảo Thông tư thay thế sẽ nhằm để giải quyết vấn đề nảy sinh trong hoạt động công nghệ thông tin tại các tổ chức để quản lý an toàn các hệ thống thông tin.

Các nội dung sửa đổi của dự thảo lần này là bổ sung một số đối tượng áp dụng thuộc phạm vi quản lý, cấp phép của Ngân hàng Nhà nước hiện chưa có các quy định về tuân thủ bảo đảm an toàn hệ thống thông tin như công ty thông tin tín dụng (hiện có Công ty cổ phần Thông tin tín dụng Việt Nam – PCB), Công ty Quản lý tài sản của các tổ chức tín dụng Việt Nam (VAMC), Nhà máy in tiền quốc gia, Bảo hiểm tiền gửi Việt Nam.

Đồng thời, bổ sung đối tượng Tổ chức tài chính vi mô, Quỹ tín dụng nhân dân cơ sở trong trường hợp các tổ chức này có thiết lập và sử dụng hệ thống thông tin phục vụ cho một hoặc nhiều hoạt động kỹ thuật, nghiệp vụ của tổ chức.

Dự thảo Thông tư quy định đối với các hệ thống cung cấp dịch vụ trực tuyến cho khách hàng phải tuân thủ phân loại hệ thống theo quy định tại Nghị định 85/2016/NĐ-CP và các văn bản hướng dẫn.

Đối với các hệ thống khác, thực hiện phân loại theo 5 cấp độ trên cơ sở tham khảo quy định tại Nghị định 85/2016/NĐ-CP và phù hợp với đặc thù ngành Ngân hàng, thay thế phân loại 3 mức độ theo quy định tại Thông tư 18/2018/TT-NHNN có một số bất cập gây khó khăn cho các tổ chức khi triển khai thực hiện.

Việc triển khai áp dụng sẽ áp dụng xác thực đa thành tố khi phê duyệt giao dịch tài chính phát sinh chuyển tiền điện tử sang đối tác bên ngoài có giá trị từ 100 triệu đồng trở lên.

Với các hệ thống thông tin từ cấp độ 4 trở lên phải áp dụng xác thực đa thành tố đối với các tài khoản quản trị máy chủ, ứng dụng và các thiết bị mạng, an ninh mạng quan trọng./.